我有一个即将公开的网站,它在IIS 7.5中运行,在自己的应用程序池下运行。在站点的web.config中,有一个到sql数据库的未加密连接字符串。
在自己的身份下运行应用程序池更好吗;然后在web.config中使用sql身份验证来连接到数据库,这意味着我将失去Kerbeos身份验证对数据库的好处。
或者我应该将应用程序池配置为在其自己的身份下运行吗;然后在连接字符串中使用集成安全性来获得windows安全性的好处?
如果可以的话,您应该运行应用程序池并使用集成安全性#2如果你的网站被黑客入侵,这样做的好处是不会泄露你的密码。但是,这不会阻止任何SQL注入类型的攻击。
如果您对服务器有那么多控制权,那么就使用windows身份验证。虽然我不能说它是否"更好",但我认为它会更容易管理。